Das Problem mit dem "Web Security Guard Guide" hat sich erledigt...war ´n Teil von ´nem Tool und hab´s deinstalliert.

AntiVir ist turnusgemäss durchgelaufen und hier der Report



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 15. Juli 2008 12:00

Es wird nach 1431952 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: PRIVAT-1B17C596

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 16.04.2008 14:10:41
AVSCAN.DLL : 8.1.1.0 57601 Bytes 16.04.2008 14:10:41
LUKE.DLL : 8.1.2.9 151809 Bytes 16.04.2008 14:10:41
LUKERES.DLL : 8.1.2.0 12545 Bytes 16.04.2008 14:10:41
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 08:28:11
ANTIVIR2.VDF : 7.0.5.105 821248 Bytes 13.07.2008 18:55:52
ANTIVIR3.VDF : 7.0.5.112 139776 Bytes 14.07.2008 18:55:53
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 16.04.2008 14:10:41
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 04.07.2008 14:53:16
AESCN.DLL : 8.1.0.22 119157 Bytes 20.06.2008 12:24:07
AERDL.DLL : 8.1.0.20 418165 Bytes 26.04.2008 07:40:20
AEPACK.DLL : 8.1.1.6 364918 Bytes 20.06.2008 12:24:07
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 20.06.2008 12:24:06
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 04.07.2008 14:53:14
AEHELP.DLL : 8.1.0.15 115063 Bytes 18.06.2008 09:17:12
AEGEN.DLL : 8.1.0.29 307573 Bytes 20.06.2008 12:23:57
AEEMU.DLL : 8.1.0.6 430451 Bytes 08.05.2008 10:20:19
AECORE.DLL : 8.1.0.32 168311 Bytes 04.07.2008 14:53:08
AVWINLL.DLL : 1.0.0.7 14593 Bytes 16.04.2008 14:10:41
AVPREF.DLL : 8.0.0.1 25857 Bytes 16.04.2008 14:10:41
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 16.04.2008 14:10:41
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 14:10:41
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 16.04.2008 14:10:41
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 14:10:41
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 16.04.2008 14:10:41
NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 14:10:41
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 16.04.2008 14:10:38
RCTEXT.DLL : 8.0.32.0 86273 Bytes 16.04.2008 14:10:38

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 15. Juli 2008 12:00

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avant.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'puxpman2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '32' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013734.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac791c.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013736.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac7921.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013738.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac7925.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013739.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac7929.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013740.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac792d.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013741.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac7930.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013742.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac7931.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013743.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac7933.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013744.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac7937.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013745.EXE
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac7939.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013747.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac793c.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013748.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac793f.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013756.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac7941.qua' verschoben!
C:\System Volume Information\_restore{F7C5F032-5FEB-477E-9F0C-F399DAA29170}\RP123\A0013758.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ac7943.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Dienstag, 15. Juli 2008 12:25
Benötigte Zeit: 25:19 min

Der Suchlauf wurde vollständig durchgeführt.

4950 Verzeichnisse wurden überprüft
163054 Dateien wurden geprüft
14 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
14 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
163040 Dateien ohne Befall
623 Archive wurden durchsucht
2 Warnungen
14 Hinweise



Muss jetzt ersteinmal schaffen gehen und sende Dir noch das aktuelle HJT-Logfile zu - hoffe, Du kannst mir da weiterhelfen
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:28:16, on 15.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\PuXpMan2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avant BrowserJuli140708\avant.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\system32\PuXpMan2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7752 bytes


Melde mich dann morgen nochmal und wünsche soweit einen Schönen Tag

Hallo Twice
In deinem HJT-Log ist erstmal nichts böses mehr, außer du hast nLite nicht selbst installiert und angewendet.
Wenn es da noch probleme geben sollte, wirst du wohl neu aufsetzen müssen. Die Datei SYSSEDUB.DLL ist anscheinend von nLite und soll dein Servverhalten dokumentieren. Wenn du damit kein Problem hast, kannst du es lassen.
Du solltest die Systemwiederherstellung deaktivieren, Rechner neu starten. Dann kann er wieder aktiviert werden.
Ansonsten mach noch einen Scan mit CCleaner nach Anleitung. Die Registry mehrmals nach Fehlern ansuchen lassen, bis keine mehr gefunden werden.
Ist sonst noch ein auffälliges Verhalten des Rechners gegeben?

Bin momentan an einem anderen Rechner und habe somit keine Möglichkeit, Deine Hinweise sofort zu bearbeiten, werde mich morgen vormittag aber sofort darum kümmern und poste Dir nochmal alles zu.
Versuche aber per Telefon meine LAG einzuspannen - sorry, bin viel zu ungeduldig...

Was sagst Du eigentlich zu der letzten LogFile von AntiVir ?
Da habe ich ja einige Einträge in Quarantäne verschoben. Kann ich die problemlos löschen oder besser in Quarantäne belassen ???
Habe nur die Befürchtung, dass sie dort "ausbrechen" können.

Die Datei SYSSEDUB.DLL sagt mir erstmal nichts.
Oder meintest Du SYSSETUP.DLL ???
Laut CHIPonlien.de klingt das Tool harmlos und dient wohl zu Erstellen einer WINDOWS-Installations-CD >

Mit der Freeware nLite können Sie eine eigene Installations-CD für Windows erstellen.


nLite ist ein Tool mit einer hilfreichen, grafischen Benutzeroberfläche, mit der sich eine persönliche Installations-CD von Windows kreieren lässt.

Sie können Windows-Programme (bsp. MSN Messenger, Outlook Express, Internet Explorer) entfernen, so dass diese erst gar nicht mehr mitinstalliert werden oder jede beliebige Software hinzufügen. Der Artikel "Win-Diät mit nLite: Perfekte Installation in 15 Minuten" enthält dafür zahlreiche Tipps und Tricks.

In der aktuellen Version 1.4.7 ist ein Bug im Zusammenhang mit dem Service Pack 3 von XP gefixed worden.

Fazit: Mit nLite erstellen Sie Ihre personalisierte Installations-CD für Windows. Das Tool ist dabei einfach zu bedienen. Wer schon einmal sein System aufwendig neu aufsetzen musste, wird nLite zu schätzen wissen. Um eine Installations-CD für Windows Vista zu erstellen, benötigen Sie die Software vLite.

Hinweis: Damit Sie das Programm starten können, muss auf Ihrem Rechner Microsoft .NET Framework installiert sein. <




Ich hatte mal das Tool "xp - Antispy" (glaube hies so) aufgespielt - sollte mir dabei helfen, an Microsoft gesendete Infos zu unterbinden.
Kann es vielleicht davon kommen und die Datei ist ein Überbleibsel???
Oder sollte ich das Tool nochmal aufspielen ???

Meine LAG lässt gerade nochmals Antivir durchlaufen und hat folgenden Eintrag gefunden
TR/Monder.alx und in Quarantäne verschoben.

CCCleaner hat nachmehrmaligem Durchlauf keine Fehler mehr gefunden.

Nachdem hat sie den Rechner nochmal neu gestartet, CCCleaner nochmals über die Registry gejagt und keine Fehler gefunden.

Meine Freundin hat jetzt nochmal uber die "Suche" nach der Datei SYSSEDUB.DLL gesucht und keinen Eintrag gefunden.
Bei der Suche nach SYSSETUP.DLL erfolgte folgender Treffer:

C:\WINDOWS\system32

Sie konnte mir keine genaueren Infos geben, aber ich denke, dass ist die Datei, die Du meintest, welche mein Serververhalten dokumentiert.

Soweit erstmal von mir und bis gleich...und natürlich DANKE für Deine Geduld

Hallo nochmal BLOW-IN

Finde irgendwie keine Möglichkeit die "Systemwiederherstellung" zu deaktivieren.
Stelle mich vielleicht auch zu beklo... an...aber bitte ein TIP von Dir...DAANKE

das mit der Deaktivierung der "Systemwiederherstellung" habe ich nun rausgekriegt...
guckst Du
http://www.systemwiederherstellung-deaktivieren.de

Also, falls Ihr noch Vorschläge habt, wie ich meinen Laptop wieder i. O. kriege...bitte

Habe dann, heute Nacht Zeit, alles abzuarbeiten...jetzt bin ich auf Arbeit an einem anderen Rechner

DAANKE

Hallo Twice
Es handelt sich schon um die
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%
eben mit b geschrieben. und sollte auch im system32 Ordner zu finden sein. Wenn diese Datei nicht existieren würde, gäbe eine Meldung no file oder file missing und ist aber gut versteckt.
Bei einer erweiterten Suche mit versteckte Dateien suchen, müsste diese auch aufzufinden sein.
Das diese Datei von nLite erstellt wird guggst du hier Fehler beim extrahieren der Datei syssetub.dll - German-nLite.de
Zu dem Scan von AntiVir kann ich sagen, dass es sich um Einträge in der Systemwiederherstellung gehandelt hat. Die dürften sich mit deren Deaktivierung erledigt haben.
Und noch ein Punkt zum lesen: Erbitte höflichst Auswertung - HijackThis.de Support Board
Kannst die Einträge, die von nLite stammen ja auch mit HJT fixen.
Wenn du die Datei SYSSETUB.DLL findest, kannst du sie ja vorher bei Virustotal hochladen.

Guten Morgen blow-in,

Du meinst also ich kann diese Einträge

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user'
mit HJT fixen oder nur den einen

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
???

Die Sys.-Wiederherstellung habe ich deaktiviert>Neustart>Sys.-Wiederherstellung aktiviert.

Starte jetzt die Suche (natürlich erweitert) - kann ´ne Weile dauern und melde mich dann mit dem Ergebnis...

Wie verfahre ich nun mit den Quarantäneeinträgen bei AntiVir - löschen oder belassen ???

Die erweiterte Suche war ergebnislos. Finde nur die syssetup.dll, also meine WINDOWS Treiber Datei.

Kann ich die beschriebenen Einträge mit HJT fixen und Dir das Logfile zusenden???

Die Erstellung einer nLite CD müsste ja abgeschlossen sein? Es war doch bestimmt auf einer Heft CD. Wenn du noch mal eine erstellen willst, kann es ja wieder aufgespielt werden.
Damit kannst du auch das Programm selbst löschen, dann müssten die Einträge verschwinden.
Die Antivir Einträge kannst du ja auch löschen. Damit werden die Dateien ja auch nicht gelöscht. Es ist ja nur die Zusammenfassung des Scanberichtes.
Wenn es noch einen Quarantäne Ordner geben sollte, kannst du den ja löschen.
Zum Abschluss verabschiede dich noch mit einem neuen HJT-Log.

Okay alle n-Lite Einträge gefixt und hier das Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:51:42, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\PuXpMan2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avant BrowserJuli140708\avant.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\system32\PuXpMan2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7380 bytes

So denn Twice
Ich denke wir können dich als geheilt entlassen. Macht dein Rechner noch irgendwelche Probleme?
Was ich noch vergessen hatte, dein Java und Adobe Reader könnten noch ein Update vertragen. Das gleiche gilt für XP den SP3 aufspielen, der wird nicht automatisch gestartet.

Danke, Danke, Danke und nochmals Danke, blow-in, für Deine schnelle und freundliche Hilfe

Java und Adobe werde ich updaten.
Den SP3 dachte ich bekomme ich über die automatischen Updates
Hast Du da einen Typ, wie ich den aktiviere???

Also wenn du auf die Seite von Microsoft gehst und dort die Updateseite aufrufst, kann du den SP3 runtertladen. Die Datei ist zwar über 300MB groß da sind aber auch die gesamten Updates bis dahin mit dabei. Also wenn du dir mal das XP neu aufsetzen solltest, reicht es wenn du diese Datei aufspielst.
Hast du denn die automatischen Updates deaktiviert?
Musst du dann also über Systemsteuerung -->Sicherheitscenter wieder aktivieren

Bin inzwischen wieder unser BSP stärken
und daher nicht an meinem Laptop.
Also Syst.-wiederh. hat alles so funktioniert, wie von Dir geraten.
SP3 für XP erfolgreich installiert - FREU!!!
Java geupdatet.
Nur bei Adaobe Reader komme ich mit Update nicht weiter, da die Bares sehen wollen

Hast Du da noch bitte einen Tip für mich > Freeware???

Ansonsten hat ja unser Zusammenspiel und Bekämpfung des "Problems" wunderbar geklappt und sage hier nocheinmal ausdrücklich: "Vielen herzlichen Dank!!!!" und ich werde Dich (und naturlich das gesamte Forum weiterempfehlen).

Werde morgen vormittag (nach Eingang Deines Tips zw. Adobe Reader und hoffentlich erfolgreichem Update) Dir dann nocheinmal mein aktuelle HJT-LogFile zusenden, o.k.?

Ich habe aber noch eine Frage:

Hast Du irgendwie die Möglichkeit an Hand der Logfiles zu sehen, ob mein System effektiv arbeitet und mir eventuelle Hinweise geben, wie ich es aufräume???

Ich danke Dir ersteinmal und bis später...

Zitat:

Zitat von twice

Nur bei Adaobe Reader komme ich mit Update nicht weiter, da die Bares sehen wollen

War deine Vorgängerversion ein PRO?
Download von der Site Adobe - Downloads
dort den Reader runterladen. Dort wo der Pfeil hinzeigt sind die kostenlosen Downloads.
Ob dein System optimal läuft, kann man aus dem Log nicht sehen. Da spielen auch mehrere Faktoren rein. Man sollte sich nur angewöhnen, nicht soviel Programme in den Autostart und ab und zu den Prefetch im Windowsverzeichnis löschen. Da sammelt sich schon mal viel drin, wenn immer mal Programme gestartet werden.
Den CCleaner kannst du hin und wieder mal anwenden. Das schafft dann auch freie Resorcen.
Den O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dl würde ich auch aus dem Autostart nehmen. Nur ab und zu anwenden.
Die Yahoo Toolbar kannst du auch entfernen.